SCAMMER.PRO

SCAMMER.PRO

Новое ВПО BatLoader: продолжение старых кампаний или создание нового вируса?

  • 00:30

Исследователи из VMware — поставщик программного обеспечения для виртуализации и облачных вычислений, базирующийся в Пало-Альто, Калифорния. Компания VMware, основанная в 1998 году, является дочерней компанией Dell Technologies. Корпорация EMC первоначально приобрела VMware в 2004 году; Позже EMC была приобретена Dell Technologies в 2016 году. VMware основывает свои технологии виртуализации на своем гипервизоре ESX/ESXi без операционной системы с архитектурой x86.

» data-html=»true» data-original-title=»VMware»>VMware Carbon Black обнаружили вредоносное ПО BatLoader , операторы которого используют дроппер для распространения банковского трояна, инфостилера и Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike. ВПО размещается на скомпрометированных веб-сайтах, на которые жертвы попадают с помощью метода отравления SEO (SEO poisoning (Отравление SEO) —  добавление на скомпрометированные сайты слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря этому вредоносные сайты могут увидеть больше потенциальных жертв.

» data-html=»true» data-original-title=»SEO poisoning»>SEO poisoning).

BatLoader использует сценарии PowerShell, чтобы закрепиться на устройстве и загрузить на него другие вредоносные программы. Именно это затруднило обнаружение кампании, особенно на ранних стадиях. Эксперты зафиксировали 43 успешных заражения за последние 90 дней. Вот несколько примеров жертв кампании:

  • 9 жертв – организации в сфере бизнес-услуг;
  • 7 – финансовые компании;
  • 5 – производственные организации.

Другими жертвами стали организации в сфере образования, розничной торговли, IT-технологий и здравоохранения.

9 ноября eSentire обнаружила, что оператор BatLoader заманивал жертв на веб-сайты, маскирующиеся под страницы загрузки популярного ПО для бизнеса, такого как LogMeIn, Zoom, TeamViewer и AnyDesk. Злоумышленник распространял ссылки на эти веб-сайты через рекламу, которая появлялась на видном месте в результатах поиска, когда пользователь искал одну из этих программ.

На сайте пользователь загружает установщик Windows, который, среди прочего, профилирует систему и использует информацию для получения полезной нагрузки второго этапа.

Примечательно то, что BatLoader сам определяет, является ли целевой компьютер персональным или корпоративным компьютером. Затем он загружает тип вредоносного ПО, соответствующий определённому устройству.

Например, если BatLoader попадает на персональный компьютер, он загружает банковский троян Ursnif и инфостилер Vidar . Если он попадает на корпоративный компьютер, он загружает Cobalt Strike и инструмент удаленного управления Syncro в дополнение к банковскому трояну и похитителю информации.

В VMware Carbon Black заявили, что у кампании BatLoader несколько атрибутов цепочки атак совпадают с операцией группировки Conti — IP-адрес и инструмент удаленного управления Atera , которые использовала группа Conti в своих кампаниях.

BatLoader также имеет несколько совпадений с банковским трояном Zloader, а именно использование отравления SEO и установщика Windows для создания первоначального плацдарма, а также использование сценариев PowerShell и других двоичных файлов ОС во время атаки.

Источник

Секретная информация в Телеграм
SCAMMER.PRO
Telegram-plane Youtube